Una nueva aproximación a la ciberseguridad, Joseba Enjuto, Responsable de Consultoría de Nextel en redseguridad.com

Es rara la semana que no salta en los medios de comunicación generalistas una noticia relacionada con la ciberseguridad. Algo que era impensable hace unos pocos años, cuando las noticias relacionadas con la entonces conocida como seguridad informática prácticamente no llegaban más allá de los foros de Internet especializados. Hoy, sin embargo, llegan a ser noticias de portada en prensa y televisión, tanto nacional como internacional.

Joseba Enjuto, Responsable de Consultoría de Nextel

Joseba Enjuto, Responsable de Consultoría de Nextel

No obstante, no deberíamos quedarnos con este simple análisis, ya que dentro de las luces hay algunas sombras que parece importante analizar.

La primera de ellas pasa por darse cuenta del tipo de noticias que aparecen en los medios generalistas. Lamentablemente descubrimos que la mayor parte de ellas están relacionadas con fallos en la ciberseguridad: ataques a importantes organizaciones, fugas de información, malware… Es evidente que las malas noticias “venden” mucho más que las buenas, pero más allá de sensacionalismos, es importante ser consciente del tipo de mensaje que estamos enviando a la sociedad. ¿Es correcto (o deseable) transmitir una visión tan sesgada?.

La segunda pasa por analizar los mensajes que se transmiten en estas noticias. Y de nuevo nos encontramos con una visión que creo que es preocupante: la información proporcionada se centra en los daños causados, pasando muy por encima de las medidas de seguridad adoptadas y prácticamente obviando las soluciones que hayan podido adoptar los afectados. ¿Por qué no somos capaces de aprovechar estas noticias para transmitir un mensaje constructivo y educativo a la sociedad?.

Estos dos aspectos son simplemente indicadores de una reflexión que, ni es nueva, ni es exclusiva a nivel nacional. A nivel europeo se está desarrollando la estrategia de ciberseguridad de la UE, cuyos resultados se verán materializados en la próxima aprobación de la ya conocida Directiva NIS (Network & Information Security), mientras que a nivel nacional se desarrolló la Estrategia de Ciberseguridad Nacional, cuya aplicación se puede ver materializada en las cada vez más evidentes e importantes actuaciones tanto del Centro Criptológico Nacional (CCN), de cara a las administraciones públicas, como del Instituto Nacional de Ciberseguridad (Incibe), de cara a ciudadanos y empresas. Todas estas actuaciones tienen un mismo objetivo básico: lograr una mayor concienciación de la sociedad en materia de ciberseguridad y a través de ella conseguir mejorar las capacidades de ciberseguridad de las administraciones públicas, los ciudadanos y las empresas.

Inercias

Todas las iniciativas legislativas y regulatorias, tanto a nivel europeo como nacional, persiguen un planteamiento global de la ciberseguridad. Partiendo de la consabida máxima de seguridad de que “una cadena es tan sólida como su eslabón más débil”, todas las iniciativas buscan fortificar los distintos elementos que intervienen en la ciberseguridad: redes, sistemas, aplicaciones, procedimientos de actuación, papel de las personas, etc. No obstante, también es cierto que la ciberseguridad no es algo que haya aparecido en los últimos tiempos, pese a que el término sea de nuevo cuño, y que a lo largo de los años se han ido cogiendo ciertas inercias de las que a veces no somos del todo conscientes y que nos pueden llevar a actuar siempre del mismo modo acabando por obtener, por tanto, los mismos resultados.

Una de las principales inercias de la ciberseguridad es la visión tecno-céntrica de las organizaciones. El negocio de la ciberseguridad siempre se ha sustentado en tecnologías de protección (antivirus, firewalls, herramientas de cifrado, etc.), lo cual siempre ha sido su mayor fortaleza… y también su talón de Aquiles. Fortaleza porque su uso no deja la seguridad en manos de las personas sino que garantiza la aplicación de las medidas de protección. Y talón de Aquiles en el momento en el que las tecnologías presentan vulnerabilidades que además no siempre son bien gestionadas.

Otra de las inercias más acusadas de la ciberseguridad es ver cómo una y otra vez se insiste en la importancia de la concienciación de la personas y cómo, a continuación, se observa una prácticamente completa ausencia de iniciativas, actuaciones o presupuestos específicos orientados a abordar este asunto dentro de las organizaciones. La aplicación práctica de la filosofía de la ciberseguridad acaba relegando la fortificación del universalmente aceptado como eslabón más débil de la cadena: las personas.

Esta realidad nos lleva a analizar otra de las inercias más aceptadas de la ciberseguridad: su presupuesto proviene íntegramente del presupuesto del departamento TIC de las organizaciones. No obstante, otra de las máximas de la ciberseguridad es que su aplicación eficaz depende del triángulo personas-procesos-tecnología. Si esto es así, ¿por qué el presupuesto de ciberseguridad proviene del departamento encargado de gestionar sólo uno de los vértices?

Uno de los aspectos en los que históricamente siempre se ha seguido la inercia es en el relativo a la aplicación práctica de la ciberseguridad. Por mucho que siempre se haya dicho que la visión de la ciberseguridad debe ser holística, la mayor parte de los planteamientos han venido siempre dirigidos a la visión preventiva de la seguridad. De hecho, es tan habitual que es probable que el lector no se haya dado cuenta de que en los párrafos anteriores he pasado a utilizar el concepto de medidas de protección como sustitutivo del concepto de medidas de seguridad. Ésta es una de las mayores inercias históricas de la ciberseguridad, y uno de los principales retos frente a los que estamos intentando luchar desde organismos oficiales y empresas privadas.

Ciberresiliencia

Una de las últimas recomendaciones de un organismo como el CCN era la de “trabajar como si se estuviese comprometido”. Acertada recomendación, teniendo en cuenta lo comentado al principio del artículo. Sin embargo, la propuesta esconde mucha más carga de profundidad de la que pueda parecer, ya que viene a sugerir que los esfuerzos de las organizaciones deberían ir moviéndose desde la prevención hacia la reacción y recuperación. Al fin y al cabo, todos estamos de acuerdo en que la seguridad cien por cien no existe. ¿Cuáles son nuestras capacidades en el momento en el que la ciberseguridad falla?

La ciberresiliencia debe ser uno de los principales focos de la ciberseguridad en el futuro. Las organizaciones tienen que ser capaces de hacer frente a un incidente de seguridad, reaccionar de manera rápida y eficaz y conseguir reducir al máximo los daños que dicho incidente pueda producir, con el fin de que su impacto sea el menor posible. Tenemos que aprender a diseñar sistemas de información más resilientes, arquitecturas de seguridad más flexibles, que sean capaces de resistir frente a amenazas desconocidas y cuyas capacidades de recuperación sean más rápidas y sencillas.

Por todos los motivos anteriormente mencionados, debemos encontrar una nueva aproximación a la ciberseguridad. Una aproximación que, sin olvidar las medidas de seguridad preventivas, potencie la capacidad de reacción y sea capaz de conseguir diseñar arquitecturas de seguridad ciberresilientes. Una aproximación que, más allá de la tecnología, no sólo no olvide sino que se centre en el factor humano, y que no sólo trate de reforzar la concienciación y capacitación de las personas como eslabón más débil de la cadena sino que también potencie su responsabilidad a la hora de aplicar unos procedimientos de gestión y administración de sistemas más robustos y confiables. Una nueva aproximación que, en definitiva, deje atrás las inercias históricas y se centre en luchar contra las debilidades más esquivas con las que en la actualidad tienen que lidiar las organizaciones.

Publicado en redseguridad.com

Share

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Captcha *